TCPx

advertisement
TCP
Протокол TCP (Transmission Control Protocol, Протокол контроля передачи) – надежный байториентированный (byte-stream) протокол с установлением соединения. TCP находится на транспортном уровне
стека TCP/IP, между протоколом IP и уровнем приложений. Протокол IP занимается пересылкой дейтаграмм по
сети, никак не гарантируя доставку, целостность, порядок прибытия информации и готовность получателя к
приему данных; все эти задачи возложены на протокол TCP. В ТСР предусмотрен режим полнодуплексной
передачи. Прикладные процессы взаимодействуют с модулем TCP через порты.
Формат TCP заголовка.
Передача TCP сегментов осуществляется в виде Internet дейтаграмм. Заголовок дейтаграммы в Internet
протоколе имеет несколько информационных полей, включая адреса отправляющего и принимающего
компьютеров. Заголовок TCP следует за Internet заголовком и дополняет его информацией, специфической для
TCP протокола.










Порт источника (Source Port), 16 бит – номер порта отправителя
Порт назначения (Destination Port), 16 бит – номер порта получателя
Номер последовательности (Sequence Number), 32 бита – номер очереди для первого октета данных в
данном сегменте (за исключением тех случаев, когда присутствует флаг синхронизации SYN). Если же флаг
SYN присутствует, то номер очереди является инициализационным (ISN), а номер первого октета данных ISN+1.
Номер подтверждения (Acknowledgment Number), 32 бита – если установлен контрольный бит ACK, то это
поле содержит следующий номер очереди, который отправитель данной дейтаграммы желает получить в
обратном направлении. Номера подтверждения посылаются постоянно, как только соединение будет
установлено.
Смещение данных (Data Offset), 4 бита – количество 32-битных слов в TCP заголовке. Указывает на начало
поля данных. TCP заголовок всегда кончается на 32-битной границе слова, даже если он содержит опции.
Зарезервировано (Reserved), 6 бит – это резервное поле, должно быть заполнено нулями.
Флаги управления (Control Bits), 6 бит – слева направо:
o URG – поле срочного указателя задействовано
o ACK – поле подтверждения задействовано
o PSH – отправка данных принимающему процессу настолько быстро, насколько это возможно
o RST – перезагрузка соединения
o SYN – синхронизация номеров очереди
o FIN – нет больше данных для передачи
Размер окна (Window), 16 бит – количество октетов данных, начиная с октета, чей номер указан в поле
подтверждения. Количество октетов, получения которых ждет отправитель настоящего сегмента.
Контрольная сумма (Checksum), 16 бит – 16-битное дополнение суммы всех 16-битных слов заголовка и
текста. Если сегмент содержит в заголовке и тексте нечетное количество октетов, подлежащих учету в
контрольной сумме, последний октет будет дополнен нулями справа с тем, чтобы образовать для
предоставления контрольной сумме 16-битное слово. Возникший при таком выравнивании октет не
передается вместе с сегментом по сети. Перед вычислением контрольной суммы поле этой суммы
заполняется нулями. Контрольная сумма, помимо всего прочего, учитывает 96 бит псевдозаголовка,
который для внутреннего употребления ставится перед TCP заголовком. Этот псевдозаголовок содержит
адрес отправителя, адрес получателя, протокол и длину TCP сегмента. Такой подход обеспечивает защиту
протокола TCP от ошибшихся в маршруте сегментов. Эту информацию обрабатывает Internet протокол.
Срочный указатель (Urgent Pointer), 16 бит – сообщает текущее значение срочного указателя, который
является положительной величиной – смещением относительно номера очереди данного сегмента.
Срочный указатель сообщает номер очереди для октета, следующего за срочными данными. Это поле
интерпретируется только в том случае, когда в сегменте выставлен контрольный бит URG.
1
TCP

Опции (Options), длина переменная – располагаются в конце TCP заголовка, а их длина кратна 8 бит. Все
опции учитываются при расчете контрольной суммы. Опции могут начинаться с любого октета. Они могут
иметь два формата: одно октетный тип опций; октет типа опции, октет длины опции и октеты данных
рассматриваемой опции. В октете длины опции учитываются октет типа опции, сам октет длины, а также
все октеты с данными. Список опций может оказаться короче, чем можно указать в поле Data Offset. Место
в заголовке, остающееся за опцией «End-of-Option», должно быть заполнено нулями. Протокол TCP должен
быть готов обрабатывать все опции. В настоящее время определены следующие опции:
Тип
0
1
2

Длина
4
Значение
конец списка опций
нет операций
максимальный размер сегмента
Определения указанных опций:
 Конец списка опций
|00000000|
тип 0.
Этот код опции определяет конец списка опций. Конец списка может не совпадать с концом TCP
заголовка, указанным в поле Data Offset. Эта опция используется после всех опций, но не после
каждой из них. Опцию необходимо использовать только в том случае, если иначе не будет
совпадения с концом TCP заголовка.
 Нет операций
|00000001|
тип 1.
Опции этого типа могут ставиться между опциями. Целью при этом может служить выравнивание
очередной опции по границе слова. Нет гарантии, что отправители будут использовать данную
опцию. Поэтому получатели должны быть готовы обрабатывать опции, даже если они не будут
начинаться на границе слова.
 Максимальный размер сегмента
|00000010|00000100|макс. разм. сегм.|
тип 2, длина=4.
Поле данных опции - 16 бит. Если опция присутствует в списке, то она указывает для программы
протокола TCP максимальный размер получаемого сегмента, отправившей сегмент с этой опцией.
Эту опцию следует посылать лишь при первоначальном запросе на установление соединения (т.е.
в сегментах с установленным контрольным битом SYN). Если данная опция не была использована,
ограничения на размер отсутствуют.
Выравнивание (Padding), длина переменная. Выравнивание TCP заголовка осуществляется с тем, чтобы
убедиться в том, что TCP заголовок заканчивается, а поле данных сегмента начинается на 32-битной
границе. Выравнивание выполняется нулями.
Установка соединения
Эта процедура обычно инициируется программой протокола TCP в ответ на запрос другой программы
TCP. Данная процедура также работает, если две программы TCP инициируют ее одновременно.
1. Основная процедура подтверждения трех путей для синхронизации соединения
2. Одновременная синхронизация соединения
3. Получение старого дубликата сигнала SYN. На строке 3 старый дубликат сигнала SYN достигает
программу TCP B. Последняя не может определить, что это старый дубликат, и поэтому отвечает
обычным образом. Программа TCP A обнаруживает ошибочное значение в поле ACK и поэтому
возвращает сигнал RST (перезагрузка). При этом значение поля SEQ выбирается таким образом, чтобы
сделать сегмент правдоподобным. Программа TCP B по получении сигнала RST переходит в состояние
LISTEN. Когда на строке 6 сигнал SYN, действительный, а не устаревший, достигает программу TCP B,
процесс синхронизации происходит нормально. Если же сигнал SYN на строке 6 достигает программу
2
TCP
TCP B прежде сигнала RST, может возникнуть более сложная комбинация обмена с посылкой RST в
обоих направлениях.
4. Наполовину открытые соединения.
Уже установившееся соединение называется "наполовину открытым", если одна из программ TCP
закрыла соединение, или отказалась от него. Причем сделала это на своем конце, не предупредив
своего партнера. Также такая ситуация может возникнуть, если нарушена синхронизация на концах
линии вследствие сбоя, приведшего к потере информации в памяти. Если на таких соединениях
делается попытка отправить данные в каком-либо направлении, то автоматически производится
перезагрузка соединения. Однако предполагается, что наполовину открытые соединения являются
редкостью, а процедура восстановления применяется в сети весьма умеренно.
Если на конце A соединение считается уже несуществующим, а клиент на конце B пытается послать
данные, то это приведет к тому, что программа TCP на конце B получит контрольное сообщение о
перезагрузке. Такое сообщение показывает программе TCP на конце B, что что-то неправильно и ей
предлагается ликвидировать это соединение.
Предположим, что два клиента в точках A и B общаются друг с другом, и в этот момент происходит крах,
приводящий к потере информации в памяти у программы TCP на конце A. В зависимости от
операционной системы, обслуживающей программу TCP A, вероятно, будет задействован некий
механизм исправления ошибки. Когда программа TCP A будет запущена вновь, она, вероятно, вновь
начнет свою работу с самого начала или же с инструкции преодоления сбоя. В результате, программа A,
вероятно, попытается открыть (OPEN) соединение или послать информацию (SEND) через соединение,
которое, как она полагает, является открытым. В последнем случае от местной программы TCP (на
конце A) будет получено сообщение "соединение не открыто". При попытке установить соединение
программа TCP A будет посылать сегмент, содержащий сигнал SYN. После того, как программа TCP A
потерпит крах, пользователь попытается повторно открыть соединение. Программа TCP B тем временем
продолжает полагать, будто соединение остается открытым. Когда на строке 3 сигнал SYN достигает
программу TCP B, находящуюся в синхронизированном состоянии, а пришедший сегмент находится за
пределами окна, программа TCP B отвечает на это его подтверждением, показывает номер очереди,
который она желает получить (ACK=100). Программа TCP A, видя, что сегмент на строке 4 не подтвердил
отправленную ею информацию, фиксирует отсутствие синхронизации и посылает сигнал перезагрузки
(RST), поскольку обнаружено, что соединение является открытым наполовину. На строке 5 программа
TCP B ликвидирует соединение. Программа TCP A будет продолжать попытки установить соединение.
Закрытие соединения
Состояние CLOSED означает "я не имею данных для передачи". Конечно, закрытие полнодуплексного
соединения является предметом множества интерпретаций, поскольку не очевидно, как интерпретировать в
соединении сторону, получающую информацию, поэтому клиент, находящийся в состоянии CLOSE, может все
еще получать информацию (RECEIVE) до тех пор, пока партнер тоже не сообщит, что переходит в состояние
CLOSE. Таким образом, клиент может изящно завершить работу на своем конце соединения. Программа
протокола TCP гарантированно получит все буферы с информацией, отправленные до того, как соединение
было закрыто. Поэтому клиенту, не ждущему информации с соединения, следует лишь ждать сообщения об
успешном закрытии этого соединения, что означает, что все данные получены программой TCP, принимающей
информацию. Клиенты должны сохранять уже закрытые ими для чтения информации соединения до тех пор,
пока программа протокола TCP не сообщит им, что такой информации больше нет. Особое значение имеют три
случая:
1. Клиент инициирует закрытие соединения, дав команду своей программе протокола TCP.
2. Закрытие соединения начинается с того, что напарник посылает сюда управляющий сигнал FIN.
3. Оба клиента дают команду на закрытие одновременно.
Случай 1. Местный клиент инициирует закрытие
3
TCP
В этом случае создается сегмент с сигналом FIN и помещается в очередь сегментов, ждущих отправления.
После этого программа TCP уже не будет принимать от этого клиента каких-либо команд на отправление
данных по закрытому соединению, а сама переходит в со стояние FIN-WAIT-1. Тем не менее, в этом состоянии
еще возможно получение клиентом данных с этого соединения. Все сегменты, стоящие в очереди, и сам
сегмент с сигналом FIN будут в случае необходимости посылаться напарнику вновь и вновь, пока не получат
своего подтверждения. Когда программа TCP партнера подтвердит получение сигнала FIN, и сама отправит
сюда свой сигнал FIN, местная программа может подтвердить получение последнего. Заметим, что программа
TCP, получающая сигнал FIN, будет подтверждать его, но не будет посылать своего собственного сигнала FIN до
тех пор, пока ее клиент тоже не закроет соединения.
Случай 2. Программа TCP получает из сети сигнал FIN
Если из сети приходит невостребованный сигнал FIN, то принимающая его программа TCP может
подтвердить получение такого сигнала и оповестить своего клиента о том, что соединение закрыто. Клиент
ответит командой CLOSE, по которой программа TCP может после пересылки оставшихся данных послать
партнеру сигнал FIN. После этого программа TCP ждет, пока не придет подтверждение на отправленный ею
сигнал FIN, после чего она ликвидирует соединение. Если подтверждения не было по истечении отведенного
времени, то соединение ликвидируется в принудительном порядке, о чем дается сообщение клиенту.
Случай 3. Оба клиента закрывают соединение одновременно
Одновременное закрытие соединения клиентами на обоих концах приводит к обмену сегментами с
сигналом FIN. Когда все сегменты, стоящие в очереди перед сегментом с FIN, будут переданы и получат
подтверждение, каждая программа TCP может послать подтверждение на полученный ею сигнал FIN. Обе
программы по получении этих подтверждений будут ликвидировать соединение.
Передача данных
Для поддержания TCP соединения необходимо иметь несколько переменных, которые будут помещены
в соответствующую запись – блок управления передачей (Transmission Control Block - TCB). Среди переменных
блока TCB имеются номера местного и чужого сокетов, флаги безопасности и приоритета для данного
соединения, указатели буферов посылки и получения, указатели текущего сегмента и очереди повторной
посылки. Кроме всего этого в TCB имеются несколько переменных, имеющих отношение к номерам очередей
отправителя и получателя.
TCB send variables
TCB Variable Description
SND.UNA
Send Unacknowledged
SND.NXT
Send Next
SND.WND
Send Window
SND.UP
Sequence number of last urgent set
SND.WL1
Sequence number for last window
update
SND.WL2
Acknowledgment number for last
window update
SND.PUSH
Sequence number of last pushed set
ISS
Initial send sequence number
Описание
неподтвержденная посылка
послать следующий сегмент
отправить окно
Порядковый номер последнего срочного
сегмента
номер очереди сегмента, использованный
для обновления последнего окна
номер подтверждения в сегменте,
используемый для обновления последнего
окна
Порядковый номер последнего сегмента с
меткой PSH
первоначальный номер очереди
отправления
4
TCP
TCB Receive variables
TCB Variable Description
RCV.NXT
Sequence number of next received set
RCV.WND
Number of sets that can be received
RCV.UP
Sequence number of last urgent data
RCV.IRS
Initial receive sequence number
Описание
Порядковый номер следующего
полученного сегмента
Количество сегментов, которые могут быть
приняты
Порядковый номер последнего сегмента с
флагом URG
Полученный первоначальный номер
очереди
Передача данных осуществляется с помощью обмена сегментами. Т.к. сегменты могут быть потеряны в
результате ошибок (например, ошибки в контрольной сумме) или перегрузки сети, то программа протокола TCP
использует механизм повторной посылки (по истечении определенного времени) с тем, чтобы убедиться в
получении каждого сегмента. В главе, посвященной номерам очередей, обсуждалось, как программа TCP в
сегментах осуществляет проверку номе ров очередей и номеров подтверждения на предмет их корректности.
Отправитель данных с помощью значения переменной SND.NXT отслеживает следующий номер в
очереди, подлежащий отправке. Получатель данных с помощью переменной RCV.NXT отслеживает следующий
номер, прибытие которого он ожидает. В переменную SND.UNA отправитель данных помещает значение
самого старого номера, который был отправлен, но еще не получил подтверждения. Если бы поток данных
моментально иссяк, а все отправленные данные получили подтверждение, то тогда бы все эти три переменные
содержали одинаковое значение.
Когда отправитель информации создает и посылает некий сегмент, он увеличивает значение переменной
SND.NXT. Адресат по получении сегмента увеличивает значение переменной RCV.NXT и отправляет
подтверждение. Когда программа TCP, пославшая данные, получает подтверждение, она увеличивает значение
SND.UNA. Разность в значениях этих переменных является мерой, характеризующей задержку сегментов в сети.
Величина, на которую надо всякий раз осуществлять приращение значения этих переменных, является длиной
поля данных в сегменте. Заметим, что поскольку соединения находятся в состоянии ESTABLISHED, все сегменты,
в дополнение к собственно данным, должны нести некую информацию о подтверждении ранее отправленных
сегментов.
Запрос пользователя о закрытии соединения (CLOSE) подразумевает использование функции
проталкивания, что осуществляется с помощью контрольного флага FIN приходящем сегменте.
Контрольное время повторной посылки
Вследствие непостоянства сетей, составляющих единую объединенную систему, и большого числа
клиентов, пользующихся услугами TCP соединений, существует необходимость в динамическом определении
контрольного времени повторной посылки. В качестве иллюстрации здесь приводится одна из процедур
определения этого времени.
Пример процедуры измерения контрольного времени для повторной посылки сегментов Во-первых,
измерьте время, прошедшее между посылкой октета данных, имеющего некий определенный номер в
очереди, и получение подтверждения, указывающего наряду с другими и на этот номер (посылаемые сегменты
не обязаны соответствовать полученным сегментам).
Измеренная временная задержка - это время обращения (Round Trip Time - RTT). Следующий шаг вычисление усредненного времени обращения (Smoothed Round Trip Time - SRTT):
SRTT = (ALPHA * RSTT) + ((1-ALPHA) * RTT)
5
TCP
Затем с помощью найденного значения определяется контрольное время повторной посылки
(Retransmission Timeout - RTO)
RTO = min[ UBOUND, max[ LBOUND, (BETA * SRTT) ]], где
UBOUND
LBOUND
ALPHA
BETA
верхний предел контрольного времени (например, 1 мин),
нижний предел (например, 1 сек).
фактор сглаживания (например, от 0.8 до 0.9),
фактор изменения задержки (например, от 1.3 до 2.0).
Передача срочной информации
Механизм срочной передачи протокола TCP предназначен для того, чтобы клиент, отправляющий
данные, мог побудить получателя принять некую срочную информацию, а также позволить программе TCP,
принимающей данные, информировать своего клиента, когда вся имеющаяся на настоящий момент
информация будет получена.
Данный механизм позволяет помечать некую точку в потоке данных как конец блока срочной
информации. Когда в программе TCP, принимающей данные, данная точка окажется впереди индикатора
номера в очереди получения (RCV.NXT), эта программа TCP должна дать команду своему клиенту перейти в
"срочный режим". Когда номер в очереди получения догонит срочный указатель в потоке данных, программа
TCP должна дать команду клиенту прийти в "нормальный режим". Если срочный указатель сменит свое
положение, когда клиент находится в "срочном режиме", последний не узнает об этом.
Данный метод использует поле флага срочности, который присутствует во всех передаваемых сегментах.
Единица в поле контрольного флага URG означает, что задействовано поле срочности . Чтобы получить
указатель этого поля в потоке данных, необходимо дополнить его номером рассматриваемого сегмента в
очереди. Отсутствие флага URG означает отсутствие у отправителя не посланных срочных данных.
При указании срочности клиент должен также послать по крайней мере один октет данных. Если клиент,
помещающий данные, дополнительно закажет функцию проталкивания, то передача срочной информации
ждущему ее процессу многократно ускорится.
Управление окном
Окно, посылаемое с каждым сегментом, указывает диапазон номеров очереди, которые отправитель
окна (он же получатель данных) готов принять в настоящее время. Предполагается, что такой механизм связан
с наличием в данный момент места в буфере данных.
Указание окна большого размера стимулирует передачу. Но если при шло большее количество данных,
чем может быть принято программой TCP, данные будут отброшены. Это приведет к излишним пересылкам
информации и ненужному увеличению нагрузки на сеть и программу TCP. Указание окна малого размера
может ограничить передачу данных скоростью, которая определяется временем путешествия по сети после
каждого посылаемого сегмента.
Такие механизмы протокола позволяют программе TCP заявлять большое окно, но впоследствии
объявлять окна намного меньшего размера и не принимать такое большое количество данных. Такое, так
называемое, сокращение окна выглядит довольно обескураживающе. Принцип устойчивости диктует, чтобы
программа протокола TCP не сокращала сама окно, но была бы готова к таким действиям со стороны другой
программы TCP.
Программа TCP, посылающая данные, должна быть готова принять от клиента и передать по сети по
крайней мере один октет новых данных, даже если окно отправления равно нулю. Программа TCP должна
периодически повторно посылать данные другой программе TCP, даже если окно нулевое. В случае нулевого
6
TCP
окна рекомендуется использовать интервал повторной посылки в две минуты. Такие повторные посылки важны
для того, чтобы гарантировать, что в случае, когда одна из двух программ TCP имеет нулевое окно, открытие
этого окна будет гарантированно сообщено партнеру.
Когда программа TCP, получающая данные, имеет нулевое окно, но к ней приходит сегмент, то эта
программа должна послать подтверждение и указать, какой следующий номер в очереди она ожидает и какое
у нее окно в настоящий момент (окно нулевое).
Программа TCP пакует предназначенные к в пересылке данные в сегменты, заполняющие текущее окно.
Однако она не может перепаковать уже имеющиеся сегменты в очереди на повторную посылку. Такая
перепаковка хоть и не обязательна, но может быть полезна.
В соединении, имеющем односторонний поток данных, информация об окне будет передаваться с
сегментами подтверждения, а они будут все иметь одинаковый номер очереди. Поэтому не будет способа
восстановить их очередность при получении. Это не является серьезной проблемой, но может случайно
привести к получению информации об окне из какого-нибудь устаревшего сообщения. Во избежание такой
проблемы должен осуществляться отсев и информация об окне должна браться из сегментов, имеющих самый
большой номер в очереди (это сегменты, чей номер подтверждения больше или равен наибольшему из ранее
полученных номеров).
Процедура управления окном оказывает значительное влияние на характеристики коммуникаций.
Дальнейшие комментарии содержат пожелания разработчикам
Пожелания по управлению окном
Выделение очень малого окна приводит к передаче данных очень маленькими сегментами, тогда как
лучший режим осуществляется при использовании сегментов большего размера.
Чтобы избежать применения малых окон, получателю данных предлагается откладывать изменение окна
до тех пор, пока свободное место не составит X процентов от максимально возможного в памяти для этого
соединения (где X может быть от 20 до 40).
Другой совет, чтобы не посылать малые сегменты, состоит в том, чтобы отправитель не спешил с
посылкой данных, пока окно не станет достаточно большим. Но если клиент дает команду на использование
функции проталкивания, то данные следует немедленно отправлять, даже если это будет осуществляться
малым сегментом.
Заметим, что во избежание ненужных повторных пересылок не нужно медлить с посылкой
подтверждений. Стратегия может заключаться в посылке подтверждения при получении сегмента малого
размера (без обновления информации об окне), затем посылается другое подтверждение с новой
информацией об окне, если последнее расширяется.
Сегмент, посылаемый для проверки нулевого окна, может инициировать разбивку передаваемых данных
на все более и более мелкие сегменты. Если сегмент, содержащий единичный октет данных и отправленный
для проверки нулевого окна, получен, то он займет один октет в имеющемся в данный момент окне. Если же
программа TCP просто посылает столько данных, сколько может, всякий раз, когда окно ненулевое, то
передаваемые данные будут разбиваться на большие и малые сегменты. По истечении некоторого времени
случающиеся паузы в выделении окна получателем данные приведут к разбивке больших сегментов на
многочисленные и уже не столь большие пары. Итак, по прошествии некоторого времени передача данных
будет осуществляться преимущественно малыми сегментами.
7
TCP
Предложение состоит в том, чтобы реализации протокола TCP активно пытались объединить малые окна
в более крупные, поскольку механизмы управления окном стремятся ввести много малых окон в простейших
реализациях протокола.
Соединение во время функционирования проходит через серии промежуточных состояний. Это
состояния LISTEN, SYN-SENT, SYN-RECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LASTACK, TIME-WAIT, а также фиктивное состояние CLOSED. Состояние CLOSED является фиктивным, поскольку оно
представляет состояние, когда не существует блока TCP, а потому и нет соединения.
LISTEN
SYN-SENT
SYN-RECEIVED
ESTABLISHED
FIN-WAIT-1
FIN-WAIT-2
CLOSE-WAIT
CLOSING
LAST-ACK
TIME-WAIT
CLOSED
Ожидание запроса на соединение со стороны чужих портов и программ TCP
Ожидание парного запроса на установление соединения. С нашей стороны запрос
уже сделан.
Ожидание подтверждения после того, как запрос соединения уже принят и
отправлен.
Состояние открытого соединения, принимаемые данные можно представить
пользователю. Это нормальное состояние соединения в фазе передачи данных.
Ожидание запроса от чужой программы TCP, или подтверждения ранее
отправленного запроса на закрытие соединения.
Ожидание запроса на закрытие соединения со стороны чужой программы TCP.
Ожидание запроса на закрытие соединения со стороны своего клиента.
Ожидание подтверждения со стороны чужой программы TCP запроса о закрытии
соединения.
Ожидание запроса на закрытие соединения, ранее отправленного чужой
программе TCP (запрос включал также подтверждение получения чужого запроса
на закрытие соединения).
Ожидание когда истечет достаточное количество времени и можно быть
уверенным, что чужая программа TCP получила подтверждение своего запроса на
закрытие соединения.
Состояние полного отсутствия соединения.
Соединение TCP переходит с одного состояния на другое в ответ на события. Событие - это запросы
клиента (открытие, посылка, получение, закрытие, отказ, получение состояния соединения), приход сегментов,
и особенно тех, которые содержат флаги SYN, ACK, RST и FIN, а также истечение выделенного времени.
Уязвимости TCP
Рассмотрим, что может произойти, если будет получен TCP-сегмент с битами SYN и FIN, равными 1. При
получении такого сегмента TCP осуществляет переход в состояние close_wait. Если до этого не было
установлено соединений, переход в это состояние не должен производиться, но большинство реализаций
выполняют его. Такой переход крайне не желателен, так как в этом состоянии не работает таймер, и система
останется в нем вечно.
Другой вид атак протокола TCP называется “syn flooding”. Здесь используется трехшаговый диалог при
установлении соединения (SYN -> syn+ack -> ack; см. описание протокола TCP в разделе 4.4.3). Когда ЭВМ-1
получает запрос syn от ЭВМ-2, она должна подождать в частично открытом состоянии, по крайней мере, 75
секунд. Это позволяет успешно устанавливать связь даже в условиях очень больших сетевых задержек.
Проблема заключается в том, что многие реализации способны отслеживать ограниченное число соединений
(по умолчания 5). ЭВМ-злоумышленник может воспользоваться ограниченностью очереди и послать атакуемой
ЭВМ большое число SYN-запросов, не отвечая на присылаемые SYN+ACK. В результате очередь будет быстро
переполнена и прием запросов на соединение прекратится до тех пор, пока очередь не будет обслужена или
очищена по таймауту. Данный метод пригоден для отключения ЭВМ от сети, во всяком случае, на 75 сек. Этот
вид атаки часто является частью процедуры проникновения, когда нужно заблокировать ЭВМ от получения
нежелательных откликов.
8
TCP
Существует разновидность атаки, когда хакер посылает данные в пакетах с адресом отправителя,
отличным от его собственного (при этом трудно установить адрес, откуда такая атака предпринимается). Здесь
имеются некоторые проблемы для атакующей стороны. ЭВМ-адресат посылает все отклики по указанному
адресу отправителя, кроме того, хакеру нужно как-то выяснить порядковый номер сегмента, записываемый в
каждый пересылаемый пакет. При установлении соединения оконечный сегмент, содержащий ACK, должен
нести ISN (initial sequence number) удаленной ЭВМ. Этот сегмент посылается ЭВМ, чей адрес указан в
первоначальном запросе SYN. Хакер должен выяснить ISN каким-то иным способом (этому может помочь
служба netstat). Так как ISN 32-разрядное число случайно угадать его совсем не просто. Но в большинстве
систем (например, unix bsd) ISN берется из некоторого счетчика, содержимое которого увеличивается на 128
каждую секунду и на 64 после каждого нового соединения. Например:
x -> s: syn(ISNx)
s -> x: syn(ISNs), ack(ISNx) (получено искомое текущее значение кода ISNs)
Таким образом, установив однажды соединение с нужной ЭВМ (s), некоторое время спустя можно с
высокой вероятностью угадать значение ISN, послав несколько пакетов с разными значениями ISN. При
завершении процедуры посылается сегмент SYN+ACK, который будет отвергнут, так как машина получатель не
инициализировала связь. В пакете отклике будет установлен флаг RST и соединение окажется абортированным.
Чтобы этого не произошло, хакер может предпринять атаку типа syn-flooding, что приведет к игнорированию
SYN+ACK. В результате соединение будет установлено и хакер, празднуя победу, может продолжить свое
черное дело, например, он может исполнить какую-либо r-команду на атакуемой ЭВМ. Если даже изменять ISN
каждые 4 микросекунды, проблему угадывания разрешить не удастся. Радикальным решением может стать
лишь псевдослучайная генерация ISN-кодов (при этом случайным образом должны задаваться не менее 16
бит). Решить проблему поможет шифрование соответствующей части содержимого пакета. Рассмотрим здесь
еще несколько таких атак.
Один из известных методов базируется на IP-опции “маршрутизации отправителя” (source routing). ЭВМ
инициатор обмена может специфицировать маршрут, которым получатель должен воспользоваться при
пересылке отклика. Маршрут может быть специфицирован так, чтобы он проходил через узел,
контролируемый хакером. Эта, достаточно простая методика атаки, в настоящее время неэффективна, так как
большинство маршрутизаторов сконфигурированы так, чтобы отфильтровывать пакеты с маршрутизацией
отправителя.
Человек-по-середине. Интересные возможности предоставляет вариант, когда хакер вставляет свою
машину на пути обмена двух других узлов (hijacking). Обычные методы атак (типа spoofing) могут не привести к
успеху из-за необходимости идентификации (пароль!). В данном методе хакер позволяет завершиться
установлению связи и аутентификации и только после этого перехватывает контроль над виртуальным каналом.
Этот способ использует механизм “десинхронизации” tcp-соединения. Когда порядковый номер полученного
пакета не совпадает с ожидаемым значением, соединение называется десинхронизованным. Полученный
пакет в зависимости от его номера будет выброшен или буферизован (если он находится в пределах окна).
Таким образом, если узлы, участвующие в обмене сильно десинхронизованы, приходящие к ним пакеты будут
отбрасываться. Хакер в этом случае может вводить пакеты с корректными порядковыми номерами. Разумеется,
это совсем просто, если машина хакера является транзитной, что позволяет ей “портить” или удалять
нормальные пакеты и подменять их своими. Атака же возможна и в случае, когда машина хакера находится где
угодно. В этом случае “отброшенные” пакеты могут вызвать посылку ACK, которые содержат ожидаемое
значение порядкового номера пакета, но и они будут отвергнуты из-за неверного их номера и т.д.. При
реализации этой схемы пересылается большое число “лишних” пакетов ACK. Количество их будет сколь угодно
велико, по этой причине данная ситуация называется “штормом ACK’. Обмен уведомлениями (ACK) о неверных
ISN будет продолжаться до тех пор, пока один из таких пакетов не будет потерян. Механизм обмена IPдейтограммами устроен так, что вероятность потери тем выше, чем больше пакетов передается, т.е. процесс
9
TCP
саморегулируется. Тем не менее, высокая интенсивность потока сегментов ACK может говорить об атаке. В
норме процент сегментов ACK от общего потока TCP составляет 30-45%.
Десинхронизация может быть осуществлена при установлении соединения. Хакер в этом случае обрывает
процесс трехшагового диалога. После того как ЭВМ Б пошлет SYN+ACK ЭВМ А, ЭВМ хакера пошлет пакет от Б к А,
который с помощью бита RST оповещает о закрытии соединения. После этого затевается новый трехшаговый
диалог с целью установления соединения с А, но уже с другими кодами порядковых номеров. Схема алгоритма
атаки показана на рисунке.
ЭВМ Б проигнорирует сообщения от А, так как они имеют неправильные (навязанные хакером) номера, а
ЭВМ А проигнорирует сообщения от Б, так как ожидает, что они будут пронумерованы по-новому. Теперь хакер
знает, какие номера нужны А и Б (непосредственно же А и Б взаимодействовать не могут, так как не знают
правильных номеров) и может перехватывать, модифицировать или посылать сообщения по своему
усмотрению как А, так и Б.
Но десинхронизация может быть реализована и в ходе сессии. Если послать флаг RST в середине сессии,
соединение будет закрыто, о чем будет оповещено приложение и пользователь. Аналогичного эффекта можно
добиться, послав отправляющей стороне ICMP_NET_UNREACH, ICMP_HOST_UNREACH или ICMP_PORT_UNREACH.
Вариант с привлечением протокола ICMP привлекатетен тем, что не требует угадывания ISN. Для того чтобы
вызвать десинхронизацию в середине сессии, не закрывая соединения, достаточно поменять порядковые
номера в сообщениях. Протокол telnet имеет механизм, который позволяет решить такую задачу. В рамках
протокола можно посылать команды nop (“Ничего не делать”, согласитесь - хорошие команды!). Эти команды
не производят никакого эффекта, но увеличивают ожидаемое значение порядкового номера сегмента. Послав
некоторое количество таких команд, ЭВМ хакера вызовет десинхронизацию. Теперь только хакер знает
правильные значения порядковых номеров пакетов и может начать свою подрывную работу.
10
Скачать